Loi 25 : choisissez un outil email IA conforme au Québec (2026)

· Alexandre Sauvageau

Loi 25 : choisissez un outil email IA conforme au Québec (2026)

Loi 25 & email IA : 5 signaux d'alerte, 7 critères de conformité et 6 questions avant de signer. Guide complet pour entreprises québécoises.

Vous utilisez un assistant email IA au Québec ? Sous la Loi 25, votre fournisseur traite des données personnelles en votre nom — vous rendant responsable de sa conformité. Voici les 5 signaux d'alerte à repérer et les 7 critères que tout outil email IA conforme doit respecter.

Pourquoi votre boîte email est une donnée personnelle sous la Loi 25

En vertu de l'article 2 de la *Loi sur la protection des renseignements personnels dans le secteur privé* du Québec (P-39.1), un renseignement personnel est tout renseignement qui, seul ou combiné à d'autres, permet d'identifier une personne physique. Votre boîte email est entièrement concernée : noms des expéditeurs, adresses email, contenu des messages, schémas de contact, relations professionnelles et signaux comportementaux (temps de réponse, ton, sujets discutés) sont tous des données personnelles. Lorsque vous connectez un outil email IA à votre boîte, vous déléguez le traitement des données personnelles à un tiers. Sous la Loi 25, vous demeurez le responsable du traitement — responsable de la façon dont ces données sont gérées, stockées et protégées. Le fournisseur devient un sous-traitant, lié par vos obligations.

Cette réalité juridique signifie que choisir un fournisseur email IA non conforme ne crée pas seulement un risque pour le fournisseur — cela crée une exposition légale directe pour votre organisation. Si le fournisseur subit un incident, vous notifiez la CAI avec diligence. Si le fournisseur utilise vos données email pour entraîner ses modèles IA sans consentement explicite, vous avez violé le principe de limitation des finalités de la Loi 25. Si les centres de données du fournisseur sont aux États-Unis, vous facilitez potentiellement des transferts transfrontaliers non autorisés de données personnelles. La relation responsable-sous-traitant n'est pas qu'une formalité juridique sous la loi québécoise — c'est une obligation de conformité active qui exige une diligence raisonnable envers le fournisseur avant le déploiement, pas après.

5 signaux d\'alerte Loi 25 à repérer chez tout fournisseur email IA

Signal d'alerte 1 : Résidence de données uniquement aux États-Unis sans ÉFVP qualifiante. Si les conditions du fournisseur indiquent que les données sont stockées dans des centres de données américains et qu'il ne peut pas produire une évaluation des facteurs relatifs à la vie privée confirmant des protections équivalentes à la Loi 25, c'est une lacune de conformité dont vous êtes responsable en tant que responsable du traitement. Le risque CLOUD Act est réel : les autorités américaines peuvent contraindre des entreprises américaines à produire des données stockées n'importe où dans le monde. Signal d'alerte 2 : 'Nous pouvons utiliser vos données pour améliorer nos modèles.' Cette clause courante dans les conditions d'utilisation des outils IA viole directement le principe de limitation des finalités de la Loi 25. Le contenu de vos emails a été collecté pour la communication — pas pour l'entraînement IA. Tout usage au-delà de la finalité originale nécessite un nouveau consentement explicite. Si les conditions par défaut du fournisseur incluent l'entraînement des modèles, ce consentement n'a jamais été obtenu. Signal d'alerte 3 : Pas de responsable de la vie privée nommé. Si vous ne trouvez pas le responsable de la vie privée désigné du fournisseur sur son site web ou dans son accord de traitement, il n'est probablement pas conforme à la Loi 25 — ce qui en fait un sous-traitant non qualifiant dans le cadre de vos obligations.

Signal d'alerte 4 : Pas d'accord de traitement des données (DPA). La Loi 25 exige des contrats écrits avec chaque tiers qui traite des données personnelles en votre nom, spécifiant des protections équivalentes à la loi québécoise. Si un fournisseur ne propose pas de DPA ou vous renvoie à une politique de confidentialité générique, il ne répond pas à la norme de fournisseur tiers de la Loi 25. Signal d'alerte 5 : Pas de divulgation de la prise de décision automatisée. En vertu de la Phase 3 de la Loi 25 (en vigueur depuis septembre 2024), tout outil utilisant l'IA pour prendre des décisions affectant des individus doit divulguer que ce traitement automatisé est en cours et offrir à l'individu le droit à une révision humaine. Si votre outil email IA trie, priorise ou rédige sans aucune divulgation côté utilisateur, vous et le fournisseur pouvez être en infraction. Demandez spécifiquement aux fournisseurs : l'outil divulgue-t-il aux destinataires ou utilisateurs que le traitement IA est impliqué ?

7 critères qu\'un outil email IA conforme à la Loi 25 doit respecter

Lors de l'évaluation d'un outil email IA pour une utilisation dans un contexte d'entreprise québécoise, vérifiez les sept critères suivants avant le déploiement : 1. Résidence de données canadienne. Le contenu des emails et les données traitées doivent être stockés dans des centres de données canadiens certifiés. Cela élimine l'exposition au CLOUD Act et satisfait aux exigences de résidence de données de la Loi 25 pour les informations personnelles sensibles. 2. Aucun entraînement de modèle sur les données utilisateur. Les conditions du fournisseur doivent indiquer explicitement que le contenu des emails n'est jamais utilisé pour entraîner des modèles IA, affiner des modèles de fondation ou améliorer le service pour d'autres utilisateurs. C'est non négociable sous les exigences de limitation des finalités et de consentement de la Loi 25. 3. Un accord de traitement des données signé. Le DPA doit spécifier la nature du traitement, la finalité, la durée, les types de données, les mesures de sécurité, les délais de notification d'incident et votre droit d'audit ou de résiliation du traitement. Disponible *avant* que vous vous inscriviez, pas seulement sur demande après. 4. Responsable de la vie privée nommé publié sur leur site web. Vérifiable, pas seulement 'privacy@entreprise.com'. Un vrai nom avec un rôle. 5. Engagement de notification d'incident rapide. Le DPA doit spécifier que le fournisseur vous informera dans les 24 heures suivant la découverte d'un incident afin que vous puissiez respecter votre obligation de notifier la CAI avec diligence. 6. Révision humaine avant envoi. Aucun outil email IA ne devrait envoyer quoi que ce soit sans votre approbation explicite. En vertu des dispositions de prise de décision automatisée de la Loi 25, les utilisateurs doivent conserver le contrôle sur les actions ayant des conséquences. 7. Suppression des données sur demande. Le fournisseur doit être en mesure de supprimer toutes vos données personnelles — emails, profils vocaux, données comportementales — dans les 30 jours suivant une demande de suppression, avec confirmation écrite.

Agentys répond à tous les sept critères. Centres de données canadiens (aucune infrastructure américaine). Contenu des emails jamais utilisé pour l'entraînement IA. DPA disponible avant l'inscription. Responsable de la vie privée nommé publié sur le Trust Center. Engagement de notification d'incident en 24 heures. Rien n'est envoyé sans votre approbation explicite en un clic. Et suppression des données exécutée dans les 30 jours avec confirmation écrite. Ce ne sont pas des cases de conformité — ce sont des décisions de conception prises avant d'écrire la première ligne de code, parce que nous croyons que la confidentialité dès la conception est la seule architecture défendable pour une entreprise gérant des emails professionnels.

6 questions à poser à tout fournisseur email IA avant de signer

Utilisez cette checklist lors de toute évaluation de fournisseur : 1. 'Où exactement mes données email sont-elles stockées ?' Exigez une réponse au niveau du pays et du centre de données. 'Amérique du Nord' n'est pas acceptable. 2. 'Mon contenu email est-il utilisé pour entraîner vos modèles IA ?' Exigez une réponse écrite dans le DPA, pas seulement une assurance verbale. 3. 'Puis-je voir votre accord de traitement des données avant de m'inscrire ?' Si le DPA n'est disponible qu'après l'inscription, le fournisseur ne se positionne pas comme un sous-traitant conforme à la Loi 25. 4. 'Qui est votre responsable de la vie privée et où puis-je le trouver ?' S'ils ne peuvent pas nommer quelqu'un et vous pointer vers une page publique, il se peut qu'ils n'en aient pas. 5. 'Quel est votre SLA de notification d'incident aux clients ?' Vous devez entendre '24 heures' ou moins. 'Dès que raisonnablement possible' est une lacune de conformité. 6. 'Comment divulguez-vous la prise de décision automatisée aux utilisateurs ?' Ils doivent décrire une divulgation spécifique dans le produit, pas seulement référencer leur politique de confidentialité.

Ces questions servent un double objectif : elles identifient les fournisseurs non conformes et elles vous protègent juridiquement. Si un fournisseur passe les six — par écrit, dans le DPA — vous avez documenté votre diligence raisonnable en tant que responsable du traitement. Si un incident ou une plainte survient, vos dossiers d'audit de fournisseurs démontrent que vous avez pris au sérieux vos obligations Loi 25 et sélectionné un sous-traitant répondant à la norme de diligence requise par la loi québécoise. La diligence raisonnable envers les fournisseurs n'est pas de la bureaucratie. C'est votre bouclier de responsabilité.

La Loi 25 n'interdit pas l'utilisation d'outils email IA. Elle établit une norme claire sur la façon dont ils doivent être construits et comment les fournisseurs doivent se comporter. Les sept critères et six questions ci-dessus constituent votre cadre complet d'évaluation des fournisseurs. Tout outil email IA répondant aux sept critères — résidence de données canadienne, aucun entraînement de modèle, DPA signé, responsable de la vie privée nommé, SLA d'incident en 24h, révision humaine avant envoi et suppression des données sur demande — peut être déployé dans un workflow conforme à la Loi 25. Agentys a été conçu selon cette norme. Si vous utilisez actuellement un outil qui ne peut pas répondre à ces six questions par écrit, vous portez une exposition légale qu'une seule plainte client pourrait activer.